SSL/TLS — co może pójść nie tak?
Wiele firm ma certyfikaty SSL, ale nie zarządza nimi aktywnie. Efekt: wygasłe certyfikaty blokujące serwisy, przestarzałe protokoły podatne na ataki, certyfikaty self-signed w wewnętrznych systemach budzące alerty bezpieczeństwa. Poniżej lista kontrolna, którą warto przejść przynajmniej raz na kwartał.
1. Inwentaryzacja certyfikatów
- Czy masz listę wszystkich certyfikatów (domena, data wygaśnięcia, wystawca)?
- Czy certyfikaty obejmują wszystkie subdomeny (wildcard vs. SAN)?
- Czy wewnętrzne systemy (VPN, intranet, API) też mają certyfikaty?
2. Monitoring wygaśnięcia
- Czy masz alert minimum 30 dni przed wygaśnięciem certyfikatu?
- Czy procedura odnowienia jest udokumentowana i przetestowana?
3. Wersja protokołu
- Czy wyłączyłeś SSL 2.0, SSL 3.0 i TLS 1.0/1.1? (podatne na POODLE, BEAST)
- Czy serwery akceptują wyłącznie TLS 1.2 i TLS 1.3?
4. Zestawy szyfrów (cipher suites)
- Czy wyłączyłeś słabe szyfry (RC4, DES, 3DES, EXPORT)?
- Czy priorytet mają zestawy zapewniające Perfect Forward Secrecy (ECDHE)?
5. Konfiguracja serwera
- Czy włączyłeś HSTS (HTTP Strict Transport Security)?
- Czy certyfikat ma poprawny łańcuch pośredni (intermediate chain)?
- Czy OCSP Stapling jest włączony?
Zarządzanie certyfikatami i audyt konfiguracji SSL/TLS to jeden z naszych podstawowych zakresów usług. Skontaktuj się, jeśli chcesz przeprowadzić przegląd swojej infrastruktury.
Potrzebujesz wsparcia? Dowiedz się więcej o usług sieciowych i bezpieczeństwa SSL/TLS VOXAR lub skontaktuj się z nami.
